Det finns många sätt att implementera SAML för att hantera användare och få åtkomst till OptiSigns med din IDP.
Här är några övergripande bästa metoder med OptiSigns som hjälper dig att planera din integration och minska administration och manuellt arbete senare.
Denna artikel fokuserar på integrationsstrategier och tillvägagångssätt. För detaljerade steg-för-steg-konfigurationer per plattform, se någon av våra guider:
- SAML SSO med Okta
- SAML SSO med MS Entra ID
- SAML SSO med OneLogin
- SAML SSO med OneLogin (Shibboleth)
- SAML SSO med Google Workspace
Skapa ett backup administratörskonto under uppsättning:
Under uppsättning rekommenderar vi att lämna Aktivera användarnamn & lösenordsinloggning påslaget och skapa ett administratörskonto med användarnamn/lösenord för att logga in igen och konfigurera, ifall du av misstag låser dig ute genom att missa tilldelningar av roller eller grupper.
Du kan inaktivera detta konto senare när din implementation är klar.
I detta fall planerar du att inte använda e-post som unik identifierare för användaren, utan istället använda ett användarnamn eller anställnings-ID. Vi rekommenderar att ha detta påslaget, så att kontoägaren och administratörskontot kan hantera kontot utan avbrott, t.ex. att glömma lösenordet eller ett problem med att identifiera leverantören.
Strategier för att använda SAML:
1) Som en autentiserings- och auktoriseringstjänst (REKOMMENDERAS)
SAML kan användas för att genomdriva identitetsverifiering, men också för att genomdriva användar-, team- och rollmappning i OptiSigns.
Med detta tillvägagångssätt kommer du att mappa alla användare till grupper i din IDP och mappa IDP-grupperna till OptiSigns team/roller. När det sker en förändring i IDP (till exempel om en användare läggs till eller byter grupp), kommer det automatiskt att återspeglas i OptiSigns.
För att implementera detta, markera Aktivera användaråsidosättning. När detta är markerat kommer OptiSigns varje gång en användare loggar in med SAML att kontrollera om deras namn eller grupptilldelning har ändrats. Det kommer sedan att verkställa detta därefter. Om deras namn eller tilldelning har uppdaterats kommer det också att uppdatera OptiSigns.
Mappa alla dina lämpliga grupper till roller & team i OptiSigns.
Till exempel har vi 3 grupper:
- Marknadsföring västkusten - användare som ansvarar för att hantera skärmar, innehåll för västra regionen
- Marknadsföring östkusten - användare som ansvarar för att hantera skärmar, innehåll för östra regionen
- IT-support - Administratör som kan stödja båda regionerna och utföra andra administrativa uppgifter
Mappningen bör se ut som nedan.
Med denna uppsättning, låt oss säga att en användare tillhör Marknadsföring västkusten. Du vill flytta dem till Marknadsföring östkusten. Uppdatera helt enkelt din IDP och flytta dem från västkusten till östkusten. Nästa gång de loggar in på OptiSigns kommer detta att återspeglas och de kommer att tillhöra teamet Marknadsföring östkusten och kan bara se det innehållet i OptiSigns.
För mer information om användarhantering, se vår artikel om Team och mappsäkerhet i OptiSigns.
2) Endast som autentiseringstjänst
SAML kan användas för att genomdriva din MFA, lösenordspolicy och ta bort användare och återkalla åtkomst till OptiSigns. Du kan fortfarande hantera dessa användare och tilldela dem till team eller roller. Detta tillvägagångssätt är snabbt att sätta upp och flexibelt eftersom du snabbt kan flytta runt användare i OptiSigns. Men när användare flyttar runt i din IDP måste du komma ihåg att flytta dem runt i OptiSigns också, om det behövs.
För att implementera detta, avmarkera Aktivera användaråsidosättning.
För att återgå till vårt tidigare exempel: när en användare flyttar från Marknadsföring västkusten till Marknadsföring östkusten, behöver du gå till OptiSigns och flytta användarens teamtilldelning, om nödvändigt.
Om användaren uppdaterar eller ändrar sitt namn måste du också uppdatera OptiSigns för att hålla det synkroniserat.
Aktivera användarskapande:
Vi rekommenderar att hålla detta alternativ markerat. När det är aktiverat, om användare autentiseras och SAML mappar användaren till ett team eller en roll som kan använda OptiSigns, kommer användaren att skapas automatiskt.
Om det är inaktiverat måste du först skapa varje användare i OptiSigns innan de kan logga in med SAML SSO.
För att återgå till vårt gamla exempel. Låt oss säga att det finns 20 användare som tillhör gruppen Marknadsföring västkusten i din IDP, och Marknadsföring västkusten är mappad till teamet Marknadsföring västkusten i OptiSigns.
Om en användare i gruppen Marknadsföring västkusten loggar in på OptiSigns kommer de automatiskt att skapas och kan omedelbart komma åt skärmar och innehåll för västkustteamet.
De andra 19 användarna skapas inte i OptiSigns förrän de försöker logga in.
Du kan också mappa Omappade användare/grupper till Inget team (Inaktivera). På detta sätt, om en användare tillhör någon annan grupp i din IDP och försöker logga in, kommer de att få ett fel och användaren skapas inte i OptiSigns.
På detta sätt kan du hålla systemet rent och endast användare som behöver åtkomst till applikationen replikeras.
Om du har några frågor eller behöver hjälp med SAML-integration är du välkommen att kontakta oss på support@optisigns.com